歡迎光臨
每天分享高質量文章

如何攻擊 LTE 4G 網絡

原創作者:Ruhr-Universität Bochum & New York University Abu Dhabi

文章來源:https://www.alter-attack.net/

翻譯作者:信安之路(微信號:xazlsec)myh0st

網絡二層協議安全分析

我們在資料鏈路層(也就是網絡協議的第二層)上對移動通信標準 LTE(Long-Term Evolution 也就是我們常說的 4G)的安全分析發現額三種新型攻擊媒介,可以對這個協議進行不同方式攻擊。

一方面我們會介紹兩種被動攻擊方式,分別是身份映射攻擊執行網站指紋識別的方法

另一方面,我們提出了一種叫做aLTEr的劫持密碼的攻擊,涉及的原理是因為 LTE 標準中的規範缺陷導致的,攻擊者可以通過執行 DNS 欺騙來重定向網絡連接。

攻擊的後果

1、攻擊的難度如何?

我們在實驗室通過使用實驗裝置進行了測試攻擊,是否成功取決於特殊的硬體設備以及受控制的環境。這個攻擊在實際的 LTE 環境中不容易實現,然而,通過一些工程上的努力,在實際環境也是可以利用的。

2、能做什麼?

我們之前提出了三個單獨的攻擊:獲取小區里用戶的身份信息、瞭解用戶訪問哪些網站、執行重定向攻擊劫持用戶網絡連接。

3、我會被攻擊嗎?

理論上有可能,但是不要期望過高,因為這個攻擊成本和難度很高,所以一般對一些敏感人物會更加感興趣(例如政治家、記者等)。

4、這個攻擊誰應該知道?

在發佈這個專案之前我們通知了相關的機構,如 GSM 協會(GSMA)、第三代計劃合作伙伴(3GPP)和電信公司進行負責任的披露。

背景信息

資料鏈路層(第二層)

LTE  是定義網絡功能協議規範的一個複雜集合。通常有兩種型別的流量,一種是控制流量一種是用戶流量。控制流量對用戶流量的發送和接收進行控制,而用戶流量即為實際內容載荷。

我們關註的是 LTE 規範的第二層,這個資料鏈路層位於物理信道上面,它只要維護用戶和網絡之間的無線信息傳輸。

第二層的主要功能是控制多個用戶如何訪問網絡資源、幫助糾正傳輸錯誤並且對傳輸的資料進行加密保護。

安全機制

LTE 為了提供安全傳輸使用了多種安全機制。

當 Bob 的電話連接到網絡時,它需要建立相互認證並匯出共享密鑰。相互認證的意思就是網絡和電話可以分別驗證合作伙伴的身份,這個通信過程中,派生密鑰用於加密控制流量和用戶流量。

儘管存在這些安全機制,我們發現,通過主動和被動攻擊可以查看 Bob 訪問了哪些網站,甚至可以將它重定向到一個虛假的網站。

被動攻擊

什麼是被動攻擊?

在被動攻擊中不會幹擾網絡的正常連接,只能通過竊聽的手段獲取流量中的資料。竊聽者 Eve 通過在 Bob 附近部署一個嗅探設備來實現這一點。因此,她可以訪問 Bob 發送給網絡以及從網絡接收到的所有信息。儘管資料鏈路層的資料都是經過加密保護的,攻擊者仍然可以獲得在通信過程中的元資料(例如:資料傳輸的時間和頻率)。

網站指紋

資料鏈路層的元信息可以泄露關於單位時間資料消耗的信息。例如,當 Bob 觀看視頻時的流量肯定比他訪問簡單的網站大。作為攻擊的前奏,Eve 可以記錄訪問一些常見網站時的資料鏈路層的元信息特征(也就是網站指紋),在她竊聽到一些元信息之後,根據網站指紋去匹配,有比較大的概率可以知道標的訪問了哪個網站。

實驗和結果

在我們的 LTE 網絡實驗室進行了網站指紋攻擊,我們選擇了不同設備訪問互聯網上 50 個最受歡迎的網站,我們使用這個實驗來評估和演示根據 LTE 的加密資料鏈路層流量識別網站的可行性。

我們的研究表明,這個攻擊方式是可行的,我們的平均成功率是 89% 左右。將來我們計劃在商業的網絡中進行相同的實驗,這樣會因為垃圾資料和不受控制的網絡動態而導致攻擊的複雜化。

主動攻擊:aLTEr

在主動攻擊中,攻擊者通過模擬合法的網絡或用戶設備向網絡或設備發送信號。在我們的實驗中,攻擊者可以同時攔截並重放  Bob 和網絡之間傳輸的所有資料。在 Bob 眼中,所有的訪問都是正常的,不會有任何明顯的異常。

用戶資料重定向

LTE 是在資料鏈路層以上的層使用相互認證來防止 Bob 的手機連接到假的網絡。但是,攻擊者可以轉發高層的訊息到不受保護的低層。用戶資料重定向攻擊的核心就是利用用戶資料不受完整性保護。因此,如果攻擊者知道原始的明文,即使資料包是加密的,攻擊者也可以修改資料包的內容。對於 DNS 資料包,我們知道原始 DNS 服務器的地址,攻擊者可以通過添加特定的偏移量,將 DNS 重定向到攻擊者可控制的 DNS 服務器。

更技術的說法:用戶資料是以數學樣式(AES-CTR)加密,其中加密演算法用作密鑰流生成器,密文是通過密鑰流和明文進行 XOR 運算來計算。

DNS 欺騙

惡意的 DNS 服務器執行 DNS 欺騙,將正常的域名解析到惡意的 IP 地址。手機在訪問一個網站的時候,實際訪問的就是攻擊者指定的惡意網站。DNS 欺騙是互聯網上常見的攻擊,在攻擊者控制 DNS 服務器的下一跳即可發動攻擊。跟用戶資料重定向攻擊相比,攻擊者只需要靠近受害者即可執行此類攻擊。

最終結果

為了演示 aLTEr 攻擊的可行性,我們在實驗室環境中的商用網絡和商用電話內實施了全面的端到端攻擊。我們通過軟體無線電系統實現了基於開源 LTE 軟體棧 srsLTE 的 LTE 中繼。我們使用屏蔽盒來穩定無線電層並防止被真實網絡的意外打斷。另外,我們設置了兩台服務器來模擬攻擊者如何重定向網絡連接:一臺 DNS 服務器,對特定的 DNS 查詢回覆惡意的 IP 地址;一臺 HTTP 服務器,模擬用戶登錄頁面,IP 就是 DNS 回覆的惡意 IP ,視頻演示如下: